Carlos Meza Sistemas Operativos Corporativos

2
ndice
1. Introduccin. 3
2. Roles FSMO en Windows server 2008 4
3. Funciones FSMO en Windows server 2008. 5
4. Comandos para verificar roles FSMO.. 6
5. Como Transferir roles FSMO. 7 - 17
6. Distribucin de roles FSMO. 18 - 19
7. Conclusin. 20

















3
Introduccin
En este documento aprenders sobre los roles FSMO en Windows Server
2008, comprender sus funciones, los tipos de roles, comandos para verificar
los roles, como transferir los roles y la distribucin de estos en un ambiente
de Windows Server 2008, al final de este documento estars capacitado para
poder utilizar los roles y como emplearlos en la plataforma de Windows
Server.







4
Roles FSMO
A partir de Active Directory en la versin de Windows Server 2008, existen
algunos roles que solo pueden ser ejecutados por un solo controlador de
dominio, a veces en el Forest y otras en el Dominio. Estos roles se conocen
como Flexible Single Master Operations (FSMO).

Los Roles FSMO son 5:
Schema Master: puede haber uno en el Forest.
Domain Naming Master: puede haber uno en el Forest.
RID Master: puede haber uno en cada Dominio del Forest.
PDC Emulator: puede haber uno en cada Dominio del Forest.
Infraestructure Master: puede haber uno en cada Dominio del Forest.









5
Funcin de los Roles FSMO
Schema master Maestro de esquema: lleva el control de las
actualizaciones que se producen en el esquema del directorio (ldap),
no es un servicio muy crtico ya que principalmente nos ser necesario
cuando debamos hacer un adprep ya sea para instalar exchange o
para introducir controladores de dominio de 2003 en un entorno
Windows 2000. Debe haber uno por bosque.
Domain naming master Maestro de nombres de dominio: Es el
responsable de controlar si se aaden o eliminan dominios del bosque.
Si tenemos un problema con un dcpromo al aadir un nuevo dominio o
eliminarlo es uno de los primeros puntos que debemos revisar.
RID master Maestro de identificadores relativos: hay uno por
bosque y es el encargado de suministrar en lotes a los controladores
de dominios identificadores relativos (RID), esto se produce cuando el
controlador entra en funcionamiento. Con el RID y el SID de cada
dominio se crean identificadores nicos para cada objeto del dominio.
PDC emulator Emulador de PDC: debe haber un emulador de PDC
por dominio. Como parece obvio emulara el PDC si tenemos aun un
entorno con BDCs, si nuestro entorno es 2000/2003 entonces todava
tendr importantes tareas como llevar la sincronizacin de la hora y
centralizar cambios de passwords, bloqueos de usuarios e intentos
fallidos de introducir la contrasea.
Infrastructure master Maestro de infraestructura: Debe haber uno
en cada dominio y su funcin consiste en actualizar la SID y
Distinguised Name (DN) de un objeto cuando se hace una referencia
entre objetos de diferentes dominios. Este tipo de referencias se hace
mediante el GUID, el SID y el DN.





6
Comandos para verificar Roles FSMO
Existen varias maneras de verificar la ubicacin de los roles FSMO en Active
Directory. Nosotros vamos a dividir estas maneras en: por lnea de comandos
y grfica. Aqu solo vamos a desarrollar la opcin de lnea de comandos, dado
que la grfica la desarrollaremos en la Transferencia de Roles ms
adelante.

Verificacin por lnea de comandos
Para verificar la ubicacin de los roles rpidamente, podemos abrir un CMD o
PowerShell en un controlador de dominio y ejecutar el siguiente comando:

netdom query fsmo

Esto dar como resultado la siguiente salida:

Como vemos, este comando nos indica cada rol y su ubicacin (en qu
controlador de dominio se encuentra).



7
Como Transferir Roles FSMO
Transferencia por Lnea de Comandos
Para realizar la transferencia por lnea de comandos, es necesario hacer uso
del comando NTDSUTIL. Para ello ingresamos por CMD el siguiente texto:
NTDSUTIL
Obteniendo como resultado:

Luego Ingresamos: roles



8

Una vez recibido fsmo maintenance ingresaremos connections:

La respuesta del sistema ser server connections. Ahora debemos
conectarnos al controlador de dominio al cual queremos transferir los roles.
En nuestro caso es PDC02.ESTUDIOMARTIN.LOCAL. Por esta razn,
ingresaremos:
Connect to Server PDC02.ESTUDIOMARTIN.LOCAL




9
Ya estando conectados, tipearemos q para ir hacia atrs:

Y ahora comenzaremos a transferir los roles. Para transferir los roles
necesitamos ingresar la siguiente sintaxis:
Transfer [nombre de rol]
Por ejemplo, para transferir el Schema Master debemos ingresar:
Transfer Schema Master




10
El sistema nos preguntar si queremos realizar la transferencia, a lo cual
respondemos que s y obtenemos como resultado:

Por cada rol que queremos transferir, este es el comando:
Transfer infrastructure master
Transfer naming master
Transfer PDC
Transfer RID master
Transfer schema master










11
Transferencia por Interfaz Grfica
Existe otro mtodo para transferir los roles FSMO y es a travs de la interfaz
grfica. Vamos a recorrer cada rol para determinar dicho mtodo por intefaz
grfica.
Schema Master
Para poder verificar en forma grfica donde est el Schema Master, primero
debemos conectarnos al controlador de dominio al cual queremos
transferirlo. Luego, debemos antes registrar una DLL en dicho DC. Para esto
vamos a ir al CMD e ingresaremos lo siguiente:
regsvr32 schmmgmt.dll
Luego de ejecutar el comando, nos debera aparecer el siguiente cartel:







12
Una vez realizado esto, podemos abrir un MMC (Microsoft Management
Console) desde el men inicio, buscando MMC y haciendo clic en el
complemento:

Elegiremos, desde el men File la opcin Add/Remove Snag-in:



13
Seleccionaremos y agregaremos el complemento Active Directory Schema:

Una vez agregado el complemento, aceptamos y hacemos botn derecho
sobre el mdulo, seleccionando la opcin Operations Master



14
Nos aparecer un cuadro con la posibilidad de cambiar (Change) la ubicacin
del rol.

Cuando hacemos clic en Change nos pedir confirmacin:

Si por algn motivo no tenemos la opcin Change disponible, es porque
nos hemos conectado al DC que aloja actualmente el rol. Recordar
conectarse al DC al que QUEREMOS TRANSFERIR el rol!




15
RID Master, PDC Emulator, e Infrastructure Masters

Estos tres roles se transfieren desde el mismo lugar. Vamos a ingresar a la
consola Active Directory Users and Computers desde el controlador de
dominio al cual queremos transferir los roles, all haremos botn derecho
sobre el dominio y elegiremos Operations Masters:









16
Una vez all, nos aparecer un cuadro con la posibilidad de cambiar la
ubicacin de estos tres roles:

Slo debemos ir a cada solapa y elegir Change.










17
Domain Naming Master

Para transferir este rol, debemos ir a la consola Active Directory Domains
and Trusts, hacer botn derecho en la raz de la consola (no el nombre del
dominio, sino un paso ms arriba) y hacer clic en Operations Master:

All aparecer un cuadro donde podemos transferir este rol haciendo clic en
el botn Change:



18
Distribucin de roles FSMO
El movimiento de roles FSMO puede hacerse con la utilidad de comando
Ntdsutil.exe o con los snap-in de la consola MMC. Si el servidor que posee el
rol ya no existe, entonces debe usarse la utilidad de lnea de comando para
tomar el rol.
Para ver que servidor (o servidores) posee los roles FSMO, puede utilizarse la
utilidad netdom de la siguiente forma:

Transferir Schema Master rol:
1. Primero debe registrase la librera schmmgmt.dll, para esto ejecutar
en una ventana de comando (o en el cuadro de dilogo Ejecutar ) el
comando C:\Windows\System32\regsvr32 schmmgmt.dll
2. Luego abrir la consola ejecutando mmc. En el men File,
seleccionar Add/Remove snap-in. Seleccionar Add y elegirActive
Directory Schema, Add, Close y Ok.
3. En el rbol de la consola, hacer click derecho sobre Active Directory
Schema y seleccionar Change Domain Controller


19
4. Tipear el nombre del servidor que ser el nuevo poseedor del
rol Schema Master.
5. En el rbol de la consola, hacer click derecho sobre Active Directory
Schema y seleccionar Operations Master
6. Seleccionar Change
7. Confirmar y cerrar la consola.
Transferir Domain Naming Master rol:
1. Ejecutar Active Directory Domain and Trusts en Herramientas
Administrativas.
2. Botn derecho sobre el nodo Active Directory Domain and Trusts y
seleccionar Connect to Domain Controller
3. Seleccionar el servidor al que se va a transferir el rol
4. Nuevamente botn derecho sobre el nodo Active Directory Domain
and Trusts y seleccionar Opeartions Master
5. Seleccionar Change y confirmar.
Transferir el resto de los roles:
1. Ejecutar Active Directory Users and Computers en Herramientas
Administrativas.
2. Botn derecho sobre el nodo Active Directory Users and Computers
y seleccionar Connect to Domain Controller
3. Seleccionar el servidor al que se va a transferir el rol
4. Nuevamente botn derecho sobre el nodo Active Directory Users and
Computers y seleccionar Opeartions Master
5. Elegir cada una de las pestaas del rol a transferir y hacer click en
Change
6. Confirmar la operacin.





20
Conclusin
Como sabemos aprendimos y comprendimos las funciones de los roles FSMO
en Windows Server 2008, lo que nos har capaz de emplearlos, usar
comandos necesarios para su verificacin, aplicar tambin transferencia de
roles, la distribucin de estos dentro de Windows Server y lo ms importante
estar capacitado para su uso.